黑客利用波卡生态中的跨链互操作协议Hyperbridge实施攻击,成功在单笔交易中生成10亿枚桥接版DOT代币,最终实现约23.7万美元的收益,再度引发市场对跨链基础设施安全性的关注。
据网络安全机构CertiK披露的链上数据,攻击者借助一条伪造的验证信息,非法变更了以太坊上波卡代币合约的管理权限,从而完成大规模代币铸造。此次事件仅波卡通过Hyperbridge桥接到以太坊的DOT受到波及,原生DOT及整个波卡网络未受影响。
由于桥接资金池流动性有限,攻击者实际提取的以太坊数量被控制在108.2枚,折合约23.7万美元。该限制性设计虽减缓损失,但暴露了协议在权限管理与验证逻辑上的深层缺陷。
事件发生后,Hyperbridge立即暂停服务,团队正着手推进系统更新。贡献者Web3 Philosopher指出,初步分析表明问题源于一个恶意构造的证明,该证明误导了协议的默克尔树验证组件。
值得注意的是,Hyperbridge长期宣称其采用“完整节点级安全”的证明架构,本次攻击与其宣传理念形成鲜明反差。此前Aethir也成功拦截一起桥接攻击,将用户损失控制在9万美元以内,显示部分项目已具备较强防御能力。
Blocksec Falcon研究团队推测,根本原因可能为默克尔山脉(MMR)证明重放漏洞,即证明与请求之间缺乏绑定机制所致,但最终结论仍待协议方正式确认。
尽管2026年第一季度的去中心化金融(DeFi)协议总损失较去年同期显著下降,安全事件依然频繁发生,威胁行业信心。
周日,数据索引协议SubQuery Network遭受攻击,攻击者利用一段两年多前编写的、存在访问控制缺失的代码,将自身合约设为质押奖励的提款地址,导致约13万美元资产被转移。
区块链审计员Pashov在社交媒体上指出,该漏洞本质是历史遗留代码未被及时清理,反映出开发团队在长期维护与安全审查方面的疏漏。
数据显示,2026年第一季度共有34个DeFi协议遭遇攻击,累计被盗金额超1.68亿美元,相较2025年同期创纪录的15.8亿美元已大幅回落,主要得益于去年Bybit事件后的整体安全加固趋势。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.